Azure Local et PCI DSS
S’applique à : Azure Local 2311.2 et versions ultérieures
Cet article explique comment les fonctionnalités de sécurité locale microsoft Azure peuvent aider les organisations du secteur des cartes de paiement à atteindre les exigences de contrôle de sécurité de PCI DSS, tant dans le cloud que dans leurs environnements locaux.
PCI DSS
La norme de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI) est une norme mondiale de sécurité des informations conçue pour empêcher la fraude par le biais d’un contrôle accru des données de carte de crédit. Le PCI DSS est mandaté par les marques de cartes de paiement et administré par le Conseil des normes de sécurité de l’industrie des cartes de paiement.
La conformité à PCI DSS est requise pour toute organisation qui stocke, traite ou transmet des données de titulaires de carte (CHD). Les organisations soumises à la conformité PCI DSS incluent (mais ne sont pas limitées à) les marchands, les processeurs de paiement, les émetteurs, les acquisitions et les fournisseurs de services.
En savoir plus sur la norme dans la bibliothèque de documentation du Conseil des normes de sécurité PCI.
Responsabilités partagées
Il est important de comprendre que PCI DSS n’est pas seulement une technologie et une norme de produit, mais qu’elle couvre également les exigences de sécurité pour les personnes et les processus. La responsabilité de la conformité est partagée entre vous en tant qu’entité couverte et Microsoft en tant que fournisseur de services.
Clients Microsoft
En tant qu’entité couverte, il est de votre responsabilité d’obtenir et de gérer votre propre certificat PCI DSS. Les organisations doivent évaluer leur environnement distinct, en particulier les parties qui hébergent les paiements de service ou les charges de travail liées aux paiements où les données des titulaires de carte sont stockées, traitées et/ou transmises. Il s’agit de l’environnement de données de titulaire de carte (CDE). Après cela, les organisations doivent planifier et implémenter les contrôles, stratégies et procédures de sécurité appropriés pour répondre à toutes les exigences spécifiées avant de subir un processus de test officiel. Les organisations contratent finalement avec un évaluateur de sécurité qualifié (QSA) qui vérifie si l’environnement répond à toutes les exigences.
Microsoft
Bien qu’il soit de votre responsabilité de maintenir la conformité avec la norme PCI DSS, vous n’êtes pas seul dans le parcours. Microsoft fournit des matériaux supplémentaires et des fonctionnalités de sécurité dans l’environnement hybride pour vous aider à réduire l’effort associé et le coût de la validation PCI DSS. Par exemple, au lieu de tout tester à partir de zéro, vos évaluateurs peuvent utiliser l’attestation de conformité Azure (AOC) pour la partie de votre environnement de données de titulaire de carte déployée dans Azure. En savoir plus dans le contenu suivant.
Conformité locale Azure
Lors de la conception et de la création d’Azure Local, Microsoft prend en compte les exigences de sécurité pour les environnements locaux et cloud Microsoft.
Services cloud connectés
Azure Local offre une intégration approfondie avec différents services Azure, tels qu’Azure Monitor, Sauvegarde Azure et Azure Site Recovery, pour apporter de nouvelles fonctionnalités au paramètre hybride. Ces services cloud sont certifiés conformes sous PCI DSS version 4.0 au niveau du fournisseur de services 1. En savoir plus sur le programme de conformité des services cloud Azure sur PCI DSS – Conformité Azure.
Important
Il est important de noter que l’état de conformité d’Azure PCI DSS ne se traduit pas automatiquement par la validation PCI DSS pour les services que les organisations créent ou hébergent sur la plateforme Azure. Les clients sont responsables de s’assurer que leurs organisations respectent les exigences PCI DSS.
Solutions locales
En tant que solution locale, Azure Local fournit un ensemble de fonctionnalités qui aident les organisations à respecter la conformité avec PCI DSS et d’autres normes de sécurité pour les services financiers.
Fonctionnalités locales Azure pertinentes pour PCI DSS
Cette section décrit brièvement comment les organisations peuvent utiliser des fonctionnalités locales Azure pour répondre aux exigences de PCI DSS. Il est important de noter que les exigences PCI DSS s’appliquent à tous les composants système inclus ou connectés à l’environnement de données de titulaire de carte (CDE).
Le contenu suivant se concentre sur le niveau de la plateforme locale Azure, qui héberge les paiements de service ou les charges de travail liées aux paiements qui incluent des données de titulaires de carte.
Condition 1 : Installer et gérer les contrôles de sécurité réseau
Avec Azure Local, vous pouvez appliquer des contrôles de sécurité réseau pour protéger votre plateforme et les charges de travail en cours d’exécution contre les menaces réseau en dehors et à l’intérieur. La plateforme garantit également une allocation réseau équitable sur un hôte et améliore les performances et la disponibilité des charges de travail avec des fonctionnalités d’équilibrage de charge. En savoir plus sur la sécurité réseau dans Azure Local dans les articles suivants.
- Vue d'ensemble du Pare-feu Datacenter
- Software Load Balancer (SLB) for Software Define Network (SDN)
- Passerelle RAS (Remote Access Service) pour SDN
- Stratégies de qualité de service pour vos charges de travail hébergées sur Azure Local
Condition 2 : Appliquer des configurations sécurisées à tous les composants système
Sécurisé par défaut
Azure Local est configuré en toute sécurité par défaut avec des outils et technologies de sécurité pour se défendre contre les menaces modernes et s’aligner sur les bases de référence de la sécurité de calcul Azure. En savoir plus sur les paramètres de base de référence de sécurité pour Azure Local.
Protection contre la dérive
La configuration de sécurité par défaut et les paramètres principaux sécurisés de la plateforme sont protégés pendant le déploiement et l’exécution avec la protection de contrôle de dérive. Lorsqu’elle est activée, la protection de contrôle de dérive actualise régulièrement les paramètres de sécurité toutes les 90 minutes pour vous assurer que les modifications de l’état spécifié sont corrigées. Cette surveillance continue et cette autorémédiation vous permettent d’avoir une configuration de sécurité cohérente et fiable tout au long du cycle de vie de l’appareil. Vous pouvez désactiver la protection de dérive pendant le déploiement lorsque vous configurez les paramètres de sécurité.
Base de référence de sécurité pour la charge de travail
Pour les charges de travail s’exécutant sur Azure Local, vous pouvez utiliser la base de référence du système d’exploitation Azure recommandée (pour Windows et Linux) comme benchmark pour définir votre base de référence de configuration des ressources de calcul.
Condition 3 : Protéger les données de compte stockées
Chiffrement des données avec BitLocker
Sur les instances locales Azure, tous les données au repos peuvent être chiffrés via le chiffrement XTS-AES 256 bits BitLocker. Par défaut, le système vous recommande d’autoriser BitLocker à chiffrer tous les volumes du système d’exploitation et les volumes partagés de cluster (CSV) dans votre déploiement local Azure. Pour les nouveaux volumes de stockage ajoutés après le déploiement, vous devez activer manuellement BitLocker pour chiffrer le nouveau volume de stockage. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes à iso/IEC 27001. Pour en savoir plus, consultez Utiliser BitLocker avec des volumes partagés de cluster (CSV).
Condition 4 : Protéger les données des titulaires de carte avec un chiffrement fort lors de la transmission sur des réseaux publics ouverts
Protection du trafic réseau externe avec TLS/DTLS
Par défaut, toutes les communications de l’hôte vers des points de terminaison locaux et distants sont chiffrées à l’aide de TLS1.2, TLS1.3 et DTLS 1.2. La plateforme désactive l’utilisation d’anciens protocoles/hachages tels que TLS/DTLS 1.1 SMB1. Azure Local prend également en charge des suites de chiffrement fortes comme les courbes elliptiques compatibles SDL limitées aux courbes NIST P-256 et P-384 uniquement.
Condition 5 : Protéger tous les systèmes et réseaux contre les logiciels malveillants
Antivirus Windows Defender
L’antivirus Windows Defender est une application utilitaire qui permet l’application de l’analyse système en temps réel et de l’analyse périodique pour protéger la plateforme et les charges de travail contre les virus, les logiciels malveillants, les logiciels espions et d’autres menaces. Par défaut, Antivirus Microsoft Defender est activé sur Azure Local. Microsoft recommande d’utiliser Antivirus Microsoft Defender avec Azure Local plutôt que des logiciels et des services de détection de logiciels et de logiciels malveillants tiers, car ils peuvent avoir un impact sur la capacité du système d’exploitation à recevoir des mises à jour. En savoir plus sur Antivirus Microsoft Defender sur Windows Server.
Contrôle d’application
Le contrôle des applications est activé par défaut sur Azure Local pour contrôler quels pilotes et applications sont autorisés à s'exécuter directement sur chaque serveur, ce qui permet d'empêcher les logiciels malveillants d'accéder aux systèmes. Pour en savoir plus sur les stratégies de base incluses dans Azure Local et sur la manière de créer des stratégies supplémentaires, consultez Application Control for Azure Local.
Microsoft Defender for Cloud
Microsoft Defender pour le cloud avec Endpoint Protection (activé via le plan Defender pour serveurs) fournit une solution de gestion de la posture de sécurité avec des fonctionnalités avancées de protection contre les menaces. Il vous fournit des outils pour évaluer l’état de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et résoudre les menaces futures. Il effectue tous ces services à grande vitesse dans le cloud sans surcharge de déploiement via le provisionnement automatique et la protection avec les services Azure. En savoir plus sur Microsoft Defender pour le cloud.
Condition 6 : Développer et gérer des systèmes et des logiciels sécurisés
Mise à jour de plateforme
Tous les composants d’Azure Local, y compris le système d’exploitation, les principaux agents et les services, et l’extension de solution, peuvent être gérés facilement avec le Gestionnaire de cycle de vie. Cette fonctionnalité vous permet de regrouper différents composants dans une version de mise à jour et de valider la combinaison de versions pour garantir l’interopérabilité. En savoir plus sur lifecycle Manager pour les mises à jour de la solution locale Azure.
Mise à jour de la charge de travail
Pour les charges de travail s’exécutant sur Azure Local, notamment azure Kubernetes Service (AKS) hybride, Azure Arc et les machines virtuelles d’infrastructure qui ne sont pas intégrées au Gestionnaire de cycle de vie, suivez les méthodes expliquées dans Use Lifecycle Manager pour les mettre à jour et les aligner sur les exigences PCI DSS.
Condition 7 : Restreindre l’accès aux composants système et aux données des titulaires de carte par les entreprises doivent connaître
Il vous incombe d’identifier les rôles et leurs besoins d’accès en fonction des besoins métier de votre organisation, puis de s’assurer que seul le personnel autorisé a accès aux systèmes et données sensibles en attribuant des privilèges en fonction des responsabilités du travail. Utilisez les fonctionnalités décrites dans l’exigence 8 : identifiez les utilisateurs et authentifiez l’accès aux composants système pour implémenter vos stratégies et procédures.
Condition 8 : Identifier les utilisateurs et authentifier l’accès aux composants système
Azure Local fournit un accès complet et direct au système sous-jacent s’exécutant sur des machines via plusieurs interfaces telles qu’Azure Arc et Windows PowerShell. Vous pouvez utiliser des outils Windows classiques dans des environnements locaux ou des solutions cloud telles que Microsoft Entra ID (anciennement Azure Active Directory) pour gérer l’identité et l’accès à la plateforme. Dans les deux cas, vous pouvez tirer parti des fonctionnalités de sécurité intégrées, telles que l’authentification multifacteur (MFA), l’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et la gestion des identités privilégiées (PIM) pour garantir que votre environnement est sécurisé et conforme.
En savoir plus sur la gestion des identités et des accès locaux dans Microsoft Identity Manager et Privileged Access Management pour services de domaine Active Directory. En savoir plus sur la gestion des identités et des accès basées sur le cloud sur Microsoft Entra ID.
Condition 9 : Restreindre l’accès physique aux données des titulaires de carte
Pour les environnements locaux, assurez-vous que la sécurité physique correspond à la valeur d’Azure Local et aux données qu’il contient.
Condition 10 : Journaliser et surveiller tous les accès aux composants système et aux données des titulaires de carte
Journaux système locaux
Par défaut, toutes les opérations effectuées dans Azure Local sont enregistrées afin que vous puissiez suivre qui a fait quoi, quand et où sur la plateforme. Les journaux et les alertes créés par Windows Defender sont également inclus pour vous aider à prévenir, détecter et réduire la probabilité et l’impact d’une compromission des données. Toutefois, étant donné que le journal système contient souvent un grand volume d’informations, la plupart d’entre elles sont superflues pour la surveillance de la sécurité des informations, vous devez identifier les événements qui sont pertinents pour être collectés et utilisés à des fins de surveillance de la sécurité. Les fonctionnalités de supervision Azure aident à collecter, stocker, alerter et analyser ces journaux. Référencez la base de référence de sécurité pour Azure Local pour en savoir plus.
Journaux d’activité locaux
Azure Local Lifecycle Manager crée et stocke les journaux d’activité pour tout plan d’action exécuté. Ces journaux prennent en charge l’examen approfondi et la surveillance de la conformité.
Journaux d’activité cloud
En inscrivant vos systèmes auprès d’Azure, vous pouvez utiliser les journaux d’activité Azure Monitor pour enregistrer les opérations sur chaque ressource de la couche d’abonnement afin de déterminer qui, et quand, pour toutes les opérations d’écriture (put, post ou delete) effectuées sur les ressources de votre abonnement.
Journaux des identités cloud
Si vous utilisez Microsoft Entra ID pour gérer l’identité et l’accès à la plateforme, vous pouvez afficher les journaux d’activité dans les rapports Azure AD ou les intégrer à Azure Monitor, Microsoft Sentinel ou à d’autres outils SIEM/monitoring pour des cas d’utilisation sophistiqués de surveillance et d’analyse. Si vous utilisez Active Directory local, utilisez la solution de Microsoft Defender pour Identity pour consommer vos signaux Active Directory local pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées vers votre organisation.
Intégration de SIEM
Microsoft Defender pour le cloud et Microsoft Sentinel sont intégrés en mode natif aux machines locales Azure avec Arc. Vous pouvez activer et intégrer vos journaux à Microsoft Sentinel, qui fournit une fonctionnalité SIEM (Security Information Event Management) et une réponse automatisée de l’orchestration de la sécurité (SOAR). Microsoft Sentinel, comme d’autres services cloud Azure, est conforme à de nombreuses normes de sécurité bien établies telles que PCI DSS, HITRUST et l’autorisation FedRAMP, qui peuvent vous aider à utiliser votre processus d’accréditation. En outre, Azure Local fournit un redirecteur d’événements syslog natif pour envoyer les événements système à des solutions SIEM tierces.
Azure Local Insights
Azure Local Insights vous permet de surveiller l’intégrité, les performances et les informations d’utilisation des systèmes connectés à Azure et inscrits dans la supervision. Pendant la configuration d’Insights, une règle de collecte de données est créée, qui spécifie les données à collecter. Ces données sont stockées dans un espace de travail Log Analytics, qui est ensuite agrégé, filtré et analysé pour fournir des tableaux de bord de surveillance prédéfinis à l’aide de classeurs Azure. Vous pouvez afficher les données de surveillance pour les systèmes à nœud unique et à plusieurs nœuds à partir de votre page de ressources locales Azure ou d’Azure Monitor. En savoir plus sur Monitor Azure Local avec Insights.
Métriques locales Azure
Les métriques stockent des données numériques à partir de ressources surveillées dans une base de données de série chronologique. Vous pouvez utiliser l’Explorateur de métriques Azure Monitor pour analyser de manière interactive les données de votre base de données de métriques et tracer les valeurs de plusieurs métriques au fil du temps. Avec Métriques, vous pouvez créer des graphiques à partir de valeurs de métriques et mettre en corrélation visuellement les tendances.
Alertes de journal
Pour indiquer des problèmes en temps réel, vous pouvez configurer des alertes pour les instances locales Azure, à l’aide d’exemples de requêtes de journal préexistantes telles que le processeur moyen du serveur, la mémoire disponible, la capacité de volume disponible et bien plus encore. Pour en savoir plus, consultez Configurer des alertes pour les instances locales Azure.
Alertes de métrique
Une règle d’alerte de métrique supervise une ressource en évaluant les conditions sur les métriques de ressource à intervalles réguliers. Si les conditions sont remplies, une alerte est déclenchée. Une série chronologique de métriques est une série de valeurs de métriques capturées sur une période donnée. Vous pouvez utiliser ces métriques pour créer des règles d’alerte. En savoir plus sur la création d’alertes de métriques sur les alertes de métriques.
Alertes de service et d’appareil
Azure Local fournit des alertes basées sur le service pour la connectivité, les mises à jour du système d’exploitation, la configuration Azure et bien plus encore. Les alertes basées sur les appareils pour les erreurs d’intégrité du cluster sont également disponibles. Vous pouvez également surveiller les instances locales Azure et leurs composants sous-jacents à l’aide de PowerShell ou du service d’intégrité.
Condition 11 : Tester régulièrement la sécurité des systèmes et des réseaux
Outre l’exécution d’évaluations de sécurité fréquentes et de tests d’intrusion vous-même, vous pouvez également utiliser Microsoft Defender pour le cloud pour évaluer l’état de sécurité sur les charges de travail hybrides dans le cloud et localement, notamment les machines virtuelles, les images conteneur et les serveurs SQL activés par Arc.
Condition 12 : Prendre en charge la sécurité des informations avec les stratégies et programmes organisationnels
Il vous incombe de maintenir les politiques et activités de sécurité des informations qui établissent votre programme de sécurité organisationnel et protègent votre environnement de données de titulaire de carte. Les fonctionnalités d’automatisation offertes par les services Azure tels que Microsoft Entra ID et les informations partagées dans les détails de l’initiative intégrée conformité réglementaire PCI DSS peuvent vous aider à réduire le fardeau de la gestion de ces stratégies et programmes.